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Beschreibung 

Sichere Erfassung von Eingabewerten 

Die Erfindung betrifft ein System sowie ein Verfahren zur si- 
cheren Erfassung von Eingabewerten zur Verarbeitung in einer 
sicherheitsgerichteten Recheneinheit . 

Ebenso wie bei nicht sicherheitsgerichteten Automatisierungs- 
systemen besteht bei sicherheitsgerichteten Automatisierungs- 
systemen der Wunsch, Parameter bzw. Werte andern zu konnen. 
Der Begriff "sicherheitsgerichtet" (englisch: fail-safe) be- 
zeichnet gemail DIN V VDE 0801 bzw. VDI/VDE 3542 die Fahigkeit 
eines Systems, beim Auftreten eines Ausfalls im sicheren Zu- 
stand zu bleiben oder unmittelbar in einen anderen sicheren 
Zustand uberzugehen. Typische Parameter bei sicherheitsge- 
richteten Automatisierungssystemen sind Grenzwerte (z. B. ma- 
ximaler Druck, maximale Temperatur) , bei deren Oberschreitung 
ein gefahrlicher Zustand eintreten wiirde. Diese Grenzwerte 
sind beispielsweise bei Chargenprozessen unabhangig von der 
zu produzierenden Charge und sollten an die jeweilige Charge 
angepasst werden konnen. Derzeit ist keine sichere Bedienmog- 
lichkeit bekannt. Nach den relevanten Standards (insbesondere 
IEC 61508/IEC 61511) wird gefordert, dass Anderungen, welche 
sicherheitsgerichtete Funktionen betreffen, getestet und ve- 
rifiziert werden mussen. Dies wiirde eine Parameteranderung 
sehr aufwandig machen. Aus sicherheitstechnischer Sicht wer- 
den an eine Parameteranderung die im Folgenden genannten An- 
forderungen gestellt. Fuhrt die Parameteranderung zur Beein- 
flussung einer sicherheitsgerichteten Funktionalitat des Au- 
tomatisierungssystems, so ist ein kompletter Funktionstest 
bei einer solchen Parameteranderung erf orderlich, da im Falle 
eines falschen Parameters lebensgef ahrliche Zustande eintre- 
ten konnten. 
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Der Erfindung liegt die Aufgabe zugrunde, die sichere Erfas- 
sung von Eingabewerten mit einer nicht sicherheitsgerichteten 
Bedienvorrichtung zu ermoglichen. 

Diese Aufgabe wird durch ein System mit den im Anspruch 1 ge- 
nannten Merkmalen gelost. Das System zur sicheren Erfassung 
von Eingabewerten weist eine Bedienvorrichtung und eine si- 
cherheitsgerichtete Recheneinheit auf, wobei die Bedienvor- 
richtung 

• erste Anzeigemittel zur Anzeige eines iiber Eingabemittel 
eingebbaren ersten Werts, 

• Kommunikationsmittel zur unverschlusselten Obertragung des 
ersten Werts zusammen mit einem Identif izierungswert an 
die Recheneinheit , 

• Rechenmittel zur Umrechnung eines von der Recheneinheit 
ubermittelbaren zweiten Werts in einen dritten Wert, 

• zweite Anzeigemittel zur Anzeige des dritten Werts und 

• dritte Anzeigemittel zur Anzeige eines uber die Eingabe- 
mittel eingebbaren vierten Werts aufweist, wobei die Re- 
chenmittel zur Umrechnung des vierten Werts in einen funf- 
ten Wert vorgesehen sind und die Kommunikationsmittel zur 
unverschlusselten Obertragung des funften Werts zusammen 
mit dem Identif izierungswert an die Recheneinheit vorgese- 
hen sind, 

und wobei die Recheneinheit 

• Speichermittel zur Speicherung des ersten Werts sowie zur 
Speicherung von Kontrollwerten und Grenzwerten, 

• erste Vergleichsmittel zum Vergleich des Identif izierungs- 
wert s mit einem der Kontrollwerte, 

• zweite Vergleichsmittel zum Vergleich des ersten Werts mit 
den Grenzwerten, 

• Rechenmittel zur Umrechnung des ersten Werts in einen 
zweiten Wert, 

• Ubertragungsmittel zur unverschlusselten Obertragung des 
zweiten Werts an die Bedienvorrichtung und 

• dritte Vergleichsmittel zum Vergleich des funften Werts 
mit dem ersten Wert auf weist. 
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Diese Aufgabe wird durch ein Verfahren zur sicheren Erfassung 
von Eingabewerten mit den im Anspruch 13 genannten Merkmalen 
gelost, bei welchem mittels einer Bedienvorrichtung 

• ein liber Eingabemittel eingegebener erster Wert mit ersten 
Anzeigemitteln angezeigt wird, 

• der erste Wert zusammen mit einem Identif izierungswert un- 
verschliisselt an eine sicherheitsgerichtete Recheneinheit 
ubertragen wird, 

• ein von der Recheneinheit ubermittelter zweiter Wert in 
einen dritten Wert umgerechnet wird, 

• der dritte Wert mit zweiten Anzeigemitteln angezeigt wird, 

• ein liber die Eingabemittel eingegebener vierter Wert mit 
dritten Anzeigemitteln angezeigt wird, 

• der vierte Wert in einen fiinften Wert umgerechnet wird und 

• der fiinfte Wert zusammen mit dem Identif izierungswert un- 
verschliisselt an die Recheneinheit ubertragen wird, 

und bei welchem die Recheneinheit 

• den ersten Wert sowie Kontrollwerte und Grenzwerte spei- 
chert , 

• den Identif izierungswert mit einem der Kontrollwerte mit- 
tels erster Vergleichsmittel vergleicht, 

• den ersten Wert mit den Grenzwerten mittels zweiter Ver- 
gleichsmittel vergleicht , 

• den ersten Wert in einen zweiten Wert umrechnet, 

• den zweiten Wert unverschliisselt an die Bedienvorrichtung 
iibertragt und 

den fiinften Wert mit dem ersten Wert .mittels dritter Ver- 
gleichsmittel vergleicht . 

Die Erfindung beruht auf der Erkenntnis, dass zur Realisie- 
rung einer sicheren Erfassung von Eingabewerten ohne eine si- 
cherheitsgerichtete Bedienvorrichtung bei der Erfassung eine 
Anderurig der sicherheitsgerichteten F-Funktionalitat unbe- 
dingt vermieden werden muss, da eine solche Anderung einen 
kompletten Funktionstest der F-Funktionalitat erforderlich 
machen wiirde, wenn der Sicherheitslevel gehalten werden soli. 
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Andert man jedoch nur einen Sicherheitsparameter, so ist ge- 
mafi der einschlagigen Normen und Richtlinien kein kompletter 
Funktionstest erf orderlich, da es sich im Unterschied zur An- 
derung einer Sicherheitsf unktion (= F-Funktion) urn eine zu- 
lassige Obertragung/Anderung eines Sicherheitsparameters han- 
delt (siehe z. B. IEC 61511, Teil 1, Kapitel 11.7.1.5, Anmer- 
kung 2) . Das bietet den Vorteil, das die Bedienvorrichtung, 
und zwar sowohl deren Hardware als auch deren Software nicht 
von einer Abnahmestelle (z. B. TtfV = Technischer Oberwa- 
chungsverein) zertifiziert werden muss. Ein weiterer wichti- 
ger Vorteil ist, dass kein Stopp der F-Funktion bzw. des F- 
Programms bei Parameteranderung erforderlich ist, d. h. die 
Erfassung bzw. Anderung von Eingabewerten ist im laufenden 
Betrieb moglich. Es wird somit ermoglicht, dass iiber eine de- 
finierte zertif izierte Schnittstelle in der sicherheitsge- 
richteten Recheneinheit , Werte und F-Parameter (z. B. Real-, 
Integer- oder Boolean-Wert ) zu bedienen bzw. zu andern sind. 
Das zugehorige Prograiran in der Bedienvorrichtung benotigt 
keine Zertif izierung und kann auf jeder beliebigen Bedienvor- 
richtung ablaufen. Es kann vom Betreiber erstellt werden. 

Durch die sichere Priifung des Identif izierungswerts mit einem 
der Kontrollwerte durch die Vergleichsmittel werden insbeson- 
dere Adressverf alschungen bei der Obertragung der Werte bzw. 
des Identif izierungswerts aufgedeckt. Die Schnittstelle (n) 
zwischen Bedienvorrichtung und Recheneinheit kann aus Sicht 
entsprechend einschlagiger Sicherheitsnormen, z. B. IEC61508, 
als eine von vorneherein eingeplante Schnittstelle betrachtet 
werden, deren Funktionalitat entsprechend getestet sein muss. 

Gemafi einer vorteilhaf ten Ausgestaltung der Erfindung sind 
die Rechenmittel zur Bildung eines Komplements der Werte vor- 
gesehen. Durch die Spiegelung des Wertes bzw. des Komplements 
konnen Obertragungsf ehler und Datenverf alschungen - insbeson- 
dere Common-Mode-Datenverf alschungen - aufgedeckt werden. 
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Gemafi einer weiteren vorteilhaf ten Ausgestaltung der Erfin- 
dung weist die Recheneinheit Mittel zur von Ergebnissen der 
Vergleiche der Vergleichsmittel abhangigen Freigabe des ers- 
ten Werts auf . Der Test der auch Acceptance genannten Besta- 
tigung auf Korrektheit dient dem Aufdecken von Datenverfal- 
schungen, einer fehlerhaften Acceptance und einer gleichzei- 
tigen Bedienung von mehreren Bedienvorrichtungen . 

Vorteilhafterweise sind die ersten Anzeigemittel und die 
zweiten Anzeigemittel zur Anzeige des ersten bzw. des dritten 
Werts in voneinander unterschiedlicher Formatierung vorgese- 
hen sind. Aus dem zuriickgegebenen Wert/Komplement wird also 
der Normalwert errechnet und z. B. in anderer Schrift darge- 
stellt. Damit kann ein logischer Kurzschluss in der Bedien- 
vorrichtung aufgedeckt werden. Fehler in der Eingabeumwand- 
lung werden aufgedeckt, da der Anwender die Tastatureingabe 
mit dem Eingabefeld vergleicht. Fehler in der Ausgabeumwand- 
lung werden aufgedeckt da der Anwender das Eingabefeld und 
den "Readback" vergleicht. Ein "Kurzschluss" des Eingabefel- 
des zum Readback- Feld wird besonders leicht aufgedeckt durch 
die Darstellung des Read-Back in anderer Schrift und durch 
den Vergleich mit dem "ubernommenen Wert". Dem Anwender wird 
vorteilhafterweise die Moglichkeit gegeben, die Eingabe abzu- 
brechen, dadurch dass die Bedienvorrichtung eine uber die 
Eingabemittel aktivierbare Abbruchf unktion auf weist. 

Durch parametrierbare Oberwachungsmittel zur Zeitliberwachung 
der Obermittlung des ersten bzw. des vierten Werts in der Re- 
cheneinheit kann das unzulassige gleichzeitige Bedienen von 
mehreren Bedienvorrichtungen aus aufgedeckt werden. 

Um den Anwender uber den schliefilich als sicheren Wert durch 
die Recheneinheit ubernommenen Wert zu informieren, weist die 
Bedienvorrichtung vorteilhafterweise vierte Anzeigemittel zur 
Anzeige eines weiteren von der Recheneinheit ubertragbaren 
sechsten Werts auf. 
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Die Sicherheit des Systems bzw. des Verfahrens wird weiter 
erhoht, wenn Speichermittel zur diversitaren Speicherung der 
Kontrollwerte vorgesehen sind und/oder die Eingabemittel kei- 
ne Drag & Drop-Funktion zulassen, so dass der Anwender ge- 
zwungen wird, den Wert bei jeder Eingabe komplett neu ein- 
zugeben. Der Wert wird immer als Tastatureingabe gefordert. 

Die Recheneinheit weist vorteilhaf terweise sicherheitsgerich- 
tete Funktionsmittel zur sicheren Durchfuhrung eines Funkti- 
onstests der Bedienvorrichtung auf. Durch die sichere Gene- 
rierung eines Tests der Bedienf unktion in der Bedienvorrich- 
tung werden insbesondere systematische Fehler der Bedienvor- 
richtung aufgedeckt. Die Funktion in der Bedienvorrichtung 
kann so bei der Inbetriebnahme und bei jedem Proof test- 
Interval getestet werden. Auch dadurch lasst sich ein "Kurz- 
schluss" des Eingabef eldes zum Readback-Feld aufdecken. 

In Umgebungen in denen der Zugriff von nicht autorisierten 
Personen auf das System nicht zuverlSssig verhindert werden 
kann, weist die Bedienvorrichtung vorteilhaf terweise Mittel 
zur Authentif izierung von Anwendern auf. 

Nachfolgend wird die Erfindung anhand der in den Figuren dar- 
gestellten Ausf iihrungsbeispiele naher beschrieben und eriau- 
tert . 

Es zeigen: 

FIG 1 ein System zur sicheren Erfassung von Eingabewerten 

mit einer nicht sicherheitsgerichteten Bedienvor- 
richtung und einer sicherheitsgerichteten Rechen- 
einheit, 

.FIG 2 den Ablauf eines Verfahrens zur sicheren Erfassung 

von Eingabewerten und 
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FIG 3 ein weiteres System zur sicheren Erfassung von Ein- 

gabewerten mit einer Bedienvorrichtung und einer 
sicherheitsgerichteten Recheneinheit . 

Figur 1 zeigt ein System zur sicheren Erfassung von Eingabe- 
werten mit einer nicht sicherheitsgerichteten Bedienvorrich- 
tung 1 und einer sicherheitsgerichteten Recheneinheit 2, 
z. B. einer Zentraleinheit (CPU = Central Processing Unit) 
eines Automatisierungssystems . Die Bedienvorrichtung 1 weist 
erste Anzeigemittel 6, zweite Anzeigemittel 7, dritte Anzei- 
gemittel 8 und vierte Anzeigemittel 9 auf . Des Weiteren weist 
die Bedienvorrichtung 1 Eingabemittel 3, z. B. eine Tastatur, 
sowie Mittel 18 zur Authentif izierung von Anwendern, z. B. 
ein Schloss oder einen (Chip-) Kartenleser auf. Zudem enthalt 
die Bedienvorrichtung 1 Rechenmittel 5 sowie Kommunikations- 
mittel 4. Die Kommunikationsmittel 4 sind iiber eine Kommuni- 
kationsverbindung 19 mit Kommunikationsmitteln 14 der Rechen- 
einheit 2 verbunden. Die Recheneinheit 2 weist erste Ver- 
gleichsmittel 11, zweite Vergleichsmittel 12 sowie dritte 
Vergleichsmittel 13 auf. Die Recheneinheit 2 enthalt Spei- 
chermittel 10 sowie Rechenmittel 15. Des Weiteren weist die 
Recheneinheit 2 parametrierbare Uberwachungsmittel 16 sowie 
sicherheitsgerichtete Funktionsmittel 17 auf. 

Im Folgenden wird anhand des Ausf iihrungsbeispiels gemafi Fi- 
gur 1 die sichere Erfassung von Eingabewerten naher erlau- 
tert. Ein Anwender des Systems kann mittels der Bedienvor- 
richtung 1 iiber die Eingabemittel 3 einen ersten Wert - den 
Eingabewert - eingeben, welcher ihm daraufhin mit den ersten 
Anzeigemitteln 6 angezeigt wdrxd. Der Anwender erhalt durch 
die direkte Anzeige des eingegebenen ersten Werts eine Riick- 
kopplung iiber den eingegebenen ersten Wert und kann diesen 
gegebenenfalls korrigieren. Der Anwender beendet die Eingabe 
durch Betatigen einer Return-Taste oder einer speziell dafur 
vorgesehenen Bestatigungstaste, welche Teil der Eingabemittel 
3 ist. Der solchermafien eingegebene erste Wert wird zusammen 
mit einem ihm zugeordneten Identif izierungswert unverschltis- 
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selt an die sicherheitsgerichtete Recheneinheit 2 ubertragen. 
Der Identifizierungswert wird im Folgenden auch Identifizie- 
rungskennung oder Val-ID genannt. Die sicherheitsgerichtete 
Recheneinheit 2 speichert den empfangenen ersten Wert und 
vergleicht zum einen mittels erster Vergleichsmittel 11 den 
mitiibertragenen Identifizierungswert mit einem in den Spei- 
chermitteln 10 der Recheneinheit 2 gespeicherten Kontrollwert 
und vergleicht zum anderen mittels zweiter Vergleichsmittel 
12 den ersten Wert mit in den Speichermitteln 10 der Rechen- 
einheit 2 hinterlegten Grenzwerten. Im nachsten Schritt rech- 
nen die Rechenmittel 15 der Recheneinheit 2 den ersten Wert 
in einen zweiten Wert um. Diese Umrechnung ist im Ausfiih- 
rungsbeispiel die Bildung des Komplements (= Komplementar- 
wert) des ersten Werts . Der solchermafien umgerechnete bzw. 
umgeformte zweite Wert (hier also das Komplement des ersten 
Werts) wird, wiederum unverschlusselt , an die Bedienvorrich- 
tung 1 zuruckubertragen (gespiegelt) und in der Recheneinheit 
2 mit Rechenmitteln 5 in einen dritten Wert umgerechnet. Die- 
se Umrechnung vom zweiten in den dritten Wert ist eine zur 
ersten Umrechnung vom zweiten in den dritten Wert inverse O- 
peration (hier wiederum die Bildung des Komplements) . Der 
derart umgerechnete bzw. umgeformte dritte Wert sollte somit 
zahlenmaiJig dem ersten Wert entsprechen. Der dritte Wert wird 
mit zweiten Anzeigemitteln dem Anwender angezeigt . Der Anwen- 
der pruft den angezeigten dritten Wert und gibt gegebenen- 
falls als Bestatigung der Obereinstimmung des ihm angezeigten 
ersten Werts mit dem ihm angezeigten dritten Wert Uber die 
Eingabemittel 3 der Bedienvorrichtung 1 den gleichen Wert 
nochmals - zum zweiten Mai - als vierten Wert ein. Der einge- 
gebene vierte Wert wird ihm mit dritten Anzeigemitteln 8 wie- 
derum direkt angezeigt, so dass er eine direkte Ruckkopplung 
erhalt und seine Eingabe gegebenenf alls direkt korrigieren 
kann. Im nachsten Schritt rechnet die Bedienvorrichtung 1 mit 
den Rechenmitteln 5 den vierten Wert in einen fiinften Wert 
um, hier wieder in den Komplementarwert , und ubertragt den 
fiinften Wert zusammen mit dem Identifizierungswert unver- 
schliisselt an die Recheneinheit 2. Die Recheneinheit 2 ver- 
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gleicht daraufhin den funften Wert mit dem in den Speicher- 
mitteln 10 gespeicherten ersten Wert mittels dritter Ver- 
gleichsmittel 13. Der funfte Wert sollte das Komplement des 
ersten Werts sein. Haben alle mit den Vergleichsmitteln 11, 
12, 13 durchgefuhrten Vergleiche zu einem erf olgreichen Er- 
gebnis gefuhrt, kann die Recheneinheit 2 in einem letzten 
Schritt den solchermafien sicher erfassten ersten Wert als si- 
cheren Eingabewert weiterverarbeiten . 

Figur 2 zeigt den Ablauf eines Verfahrens zur sicheren Erfas- 
sung von Eingabewerten. Das Verfahren dient zum sicheren Er- 
fassen eines Eingabewerts als sicherer Wert (sogenannter F— 
Value) 45 mittels einer F-Funktion 28 (F = Failsafe) , welche 
z. B. in der Recheneinheit 2 gemaii Figur 1 ablauf t. Ein An- 
wender fuhrt iiber Eingabemittel, z. B. ein Bedienterminal, 
eine Tasteneingabe 2 0 aus. Der vom Anwender eingegebene Wert 
wird in einem Eingabefeld 22 dargestellt. Der Anwender ver- 
gleicht den im Eingabefeld 22 dargestellten Wert mit dem von 
ihm eingegebenen Wert, Der Vorgang des Vergleichs durch den 
Anwender ist in Figur 2 mit dem Bezugszeichen 21 gekennzeich- 
net. Ist der Wert nach Ansicht des Anwenders korrekt eingege- 
ben, driickt er eine Obernahmetaste 23. Daraufhin wird der 
eingegebene Wert als Wert 24 in ein Speicherwort 25 geschrie- 
ben. Dieses Speicherwort 25 wird in einem Schreibauf trag 2 6 
zusammen mit einer Kennung zur Identif izierung an eine Einga- 
beschnittstelle 27 zur F-Funktion 28 ubertragen. Die Eingabe- 
schnittstelle 27 selbst ist nicht sicherheitsgerichtet ausge- 
fuhrt. Die F-Funktion 28 spiegelt den Eingabewert als Komple- 
ment 29 uber eine sogenannte Spiegel-Schnittstelle 30 zuruck. 
Mittels einem Lese-Dienst 31 (Tolling) wird das Komplement 
als Speicherwort 32 von der Bedienvorrichtung gelesen. In der 
Bedienvorrichtung erfolgt eine Wandlung 33 des Speicherworts 
in dessen Komplementarwert. Der Komplementarwert des Spei- 
cherworts 32 sollte der im ersten Schritt eingegebene Wert 
sein. Der Komplementarwert wird nun auf einem Anzeigefeld 34 
angezeigt. Der Anwender vergleicht in einem weiteren Ver- 
gleich 35 die beiden im Eingabefeld 22 bzw. im Anzeigefeld 34 
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angezeigten Werte und gibt, falls beide Werte ubereinstimmen, 
zur Bestatigung den Wert mit einer Tasteneingabe 3 6 ein zwei- 
tes Mai ein. Der dermalien eingegebene Wert wird wiederum in 
einem weiteren Eingabefeld 38 angezeigt und durch einen wei- 
teren Vergleich 37 des Anwenders direkt gepruft. Der Anwender , 
kann bei Ubereinstimmung des eingegebenen Werts mit den zuvor 
angezeigten Werten wiederum eine Obernahmetaste 39 betatigen 
und damit eine Wandlung 40 des eingegebenen Werts in dessen 
Komplement anstoJSen. Dieses Komplement wird als Speicherwort 
41 zwischengespeichert und in einem Schreibauf trag 42 zusam- 
men mit der Identif izierungskennung an eine so genannte Ac- 
ceptance-Schnittstelle 43 zur F-Funktion 28 als sogenannte 
Acceptance 44 ubertragen. Die F-Funktion 28 pruft die Accep- 
tance 4 4 und ubernimmt bei Korrektheit den eingegebenen Wert 
als sicheren Wert 45. Im Ausf uhrungsbeispiel gemafi Figur 2 
wird dieser Wert zudem als sicherer Wert 4 6 an die Bedienvor- 
richtung ubertragen und in einem weiteren Anzeigefeld 47 dem 
Anwender angezeigt. Der Anwender hat nun noch die Gelegen- 
heit, mit einer erneuten Sicherheitseingabe oder einem Stopp 
der Funktion zu reagieren, wenn der im Anzeigefeld 47 ange- 
zeigte Wert nicht dem gewunschten Eingabewert entspricht. 

Figur 3 zeigt ein weiteres System zur sicheren Erfassung von 
Eingabewerten mit einer Bedienvorrichtung und einer sicher- 
heitsgerichteten Recheneinheit . Figur 3 dient insbesondere 
zur Verdeutlichung, welche Teile eines solchen Systems si- 
cherheitsgerichtete Funktionen ausfuhren und insofern sicher 
ausgefiihrt sein mussen bzw. von einer Abnahmestelle (z. B. 
TUV) abgenommen oder zertifiziert werden mussen. Diese Teile 
des Systems zur Ausfuhrung sicherheitsgerichteter Funktionen 
sind in Figur 3 mit den Bezugszeichen 62 - 71 gekennzeichnet . 
Die ubrigen (mit den Bezugszeichen 50 - 61 gekennzeichneten) 
Teile des Systems konnen in normaler Ausfuhrung, d. h. in 
nicht sicherheitsgerichteter Ausfuhrung, ausgefiihrt werden. 

Im Ausfiihrungsbeispiel gemafi Figur 3 gibt ein erster Anwender 
51 einen neuen Wert 53 als Eingabewert in die nicht sicher- 



10 



200317197 



heitsgerichtete Bedienvorrichtung 50 ein. Dieser neue Wert 
wird zusammen mit einer Identif izierungskennung als Daten 56 
an die sicherheitsgerichtete F-Funktion 64 iibertragen. Die F- 
Funktion 64 gibt entweder den neuen Wert als Rucklesewert 57 
an die Bedienvorrichtung 50 zuruck oder meldet einen Status- 
wert 58, z. B. einen Fehler. Daraufhin kann der erste Anwen- 
der 51 durch nochmalige Eingabe 54 des neuen Werts als Accep- 
tance den zurtickgelesenen Wert akzeptieren. Die Bedienvor- 
richtung gibt die Acceptance 59 an die F-Funktion 64 weiter. 
Optional - insbesondere zur Erhohung der Sicherheit - kann 
ein zweiter Anwender 52 den Wert akzeptieren, indem er eine 
Acceptance 55 an die Bedienvorrichtung 50 abgibt . Wahlt der 
Anwender 51 bzw. 52 den Abbruch oder wunscht ein Zuriicksetzen 
der F-Funktion 64 , so geht ein Abbruch- bzw. Reset signal 60 
an die sicherheitsgerichtete F-Funktion 64. Neben den uber 
nicht sicherheitsgerichtete Schnittstellen eingelesenen Wer- 
ten der Bedienvorrichtung 50 sind weitere sicherheitsgerich- 
tete Parameter 65 - 71 als Eingangswerte fur die F-Funktion 
vorgesehen. Ein erster Parameter 65 gibt die maximal zulassi- 
ge Anderung eines neuen Werts im Vergleich zu dem bisherigen 
F-Wert vor. Ein oder mehrere weitere Parameter 66 geben abso- 
lute Grenzwerte der jeweiligen Anlage vor. Identif izierungs- 
kennungen sind als Parameter 67 hinterlegt. Fur einen Test 
der Bedienvorrichtung 50 ist im Parameter 68 ein Rucklesewert 
simuliert. Die F-Funktion 64 kann durch Setzen oder Nichtset- 
zen des Parameters 69 aktiviert bzw. deaktiviert werden. Der 
oder die Parameter 70 geben fur das parametrierbare Oberwa- 
chungsmittel Zeituberwachung die Grenzen des Zeitfensters an. 
Der Parameter 71 bestimmt unterschiedliche Betriebsarten der 
F-Funktion 64 . Der eingegebene und als sicher akzeptierte 
Wert wird als so genannter sicherer F-Wert 62 auf einem si- 
cheren Weg 63 ubernommen sowie bedarfsweise auf einem nicht 
sicheren Weg 61 an die Bedienvorrichtung 50 iibertragen. Die 
sicherheitsgerichtete F-Funktion 64 lauft ublicherweise in 
der Zentraleinheit (CPU) eines Automatisierungssystems, ins- 
besondere in einer sicherheitsgerichteten Zentraleinheit (F- 
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CPU), ab. Die F-Funktion kann als F-Funktionsbaustein inner 
halb eines Automatisierungsprogramms realisiert sein. 

MSgliche Fehler die beherrscht werden miissen sind: 

• ubertragungsf ehler 

• Fehler in der Eingabeumwandlung 

• Fehler in der Ausgabeumwandlung 

• Adressverf alschung 

• systematische Fehler in der Bedienvorrichtung 

• "Kurzschluss" des Eingabef eldes zura Readback-Feld 

• zu fruhe oder zu spate Datenanderungen 

. gleichzeitiger Zugriff verschiedener Bedienvorrichtungen 
auf die Recheneinheit 

Eine Adressverfalschung wird aufgedeckt, da fur den F-Wert 
eine Val-ID mitgeschickt wird und gleichzeitig unabhangig da- 
von in der F-CPU die Val-ID fur den Wert diver sitar (d. h. in 
diesem Fall mit Komplement ) gefuhrt wird. Die F-Funktion ver- 
gleicht die Val-ID. Die Val-ID muss projektweit eindeutig 



sein. 



Prinzipiell wird davon ausgegangen, dass die Anwender, die 
sicherheitsrelevante Eingaben durchfuhren, entsprechend ge- 
schult sind. Somit kann keine vollkommen beliebige Eingabe 
vorkommen. Ublicherweise wird davon ausgegangen, dass mit si- 
cherheitsrelevanten Aufgaben betrauter und demgemali zuverlas- 
siger Anwender von tausend Bedieneingaben im Schnitt maximal 
eine falsche Eingabe macht. Bisher musste ein Anwender durch 
entsprechende sicherheitsgerichtete Programmierung selbst da- 
fur sorgen, dass alle oben genannten Fehler, die in der Be- 
dienvorrichtung, der Kommunikation zur F-Funktion und der Ad- 
ressierung zur F-Funktion auftreten konnen, aufgedeckt und 
beherrscht werden. Wenn er dazu nicht in der Lage war, musste 
er im F-Programm den Parameter andern, das Programm neu kom- 
pilieren, wieder in die F-CPU laden, und die Anderung testen. 

Im Folgenden wird fiir ein weiteres Ausf uhrungsbeispiel die 
Bedienreihenfolge fur eine (allgemeine) systemunterstutzte 



12 



200317197 



sichere Bedienung (F-Bedienung) angegeben. Es gibt auf der 
Bedienoberflache der Bedienvorrichtung fur jeden bedienbaren 
sicherheitsrelevanten Wert /Parameter 

• ein Eingabefeld, 

• ein Readback-Anzeige-Feld, (Zahlendarstellung in anderer 
Schrift) 

• ein Wiederholungseingabefeld (Acceptance) 

• ein Anzeigefeld far die Anzeige des aktuell im F-Programm 
verwendeten Wertes. 

Der Anwender gibt iiber die Tastatur den neuen Wert in das 
Eingabefeld ein. Der Wert wird von der Bedienvorrichtung (im 
Folgenden auch OS = Operator Station genannt) unverschliisselt 
zusammen mit der "ID zu diesem Wert" (=Val-ID) , zur F- 
Funktion gesendet. Auf F-Seite ist die Schnittstelle ein 
Standard (nicht-F) -Eingang "New-Value". Die F-Funktion prtift 
den Eingabewert und legt das Komplement nach Uberpriifung auf 
den Readback-Value. Die OS wandelt das Komplement und zeigt 
das Ergebnis auf dem "Readback-Anzeige-Feld" an. Der Anwender 
vergleicht den Wert im Eingabefeld mit dem Readback-Value - 
bei Ungleichheit muss er die Abbruchf unktion auswahlen. Wenn 
die Werte aus seiner Sicht identisch sind, bestatigt er die 
Eingabe indem er den Wert noch mal eingibt (diese Wiederho- 
lung der Eingabe kann auch durch einen anderen Anwender er- 
folgen) . Aus diesem Wert erzeugt die OS das Komplement und 
schickt dieses als Acceptance an die F-Funktion. Die F- 
Funktion vergleicht "new-Value" und "Acceptance" (d. h. Wert 
und Komplement) und wenn diese zusammenpassen gibt die F- 
Funktion den neuen Wert frei. 

Der Wert muss in einem festen Eingabefeld (dem F-Value zuge- 
ordnet und somit intern mit einer F-ID versehen, - beim Plat- 
zieren des Template/Bedienprogramm) eingegeben werden. 
Jede einzelne Ziffer wird bei der Eingabe vom Bediener mit 
der gewiinschten Ziffer verglichen (Sicherheitsanforderung zur 
Priifung der Tastaturf unktion) . Durch Betatigen einer Ubernah- 
metaste wird der Wert von der OS zusammen mit der Val-ID an 
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die F-Funktion "sichere Bedieneingabe" ubermittelt (Kommuni- 
kationsweg innerhalb der Anlage beliebig) . Die F-Funktion 
spiegelt das "Komplement" des Wertes zur Prufung an die OS. 
Das Komplement wird in der OS zum Wert zuruckgerechnet , der 
Wert zur Kontrolle in darunterliegendem Ausgabe-Feld ange- 
zeigt. Der Bediener vergleicht den Wert mit dem zuerst einge- 
gebenen Wert. Wenn der Wert gleich ist und der Bediener ein- 
verstanden ist, tippt er den Wert noch ein zweites Mai als 
Acceptance ein und driickt die Ubernahmetaste . Die OS schickt 
den Wert zusammen mit der Val-ID als Komplement zur F- 
Funktion. Die F-Funktion pruft die Acceptance und ubernimmt 
bei zeitlicher Korrektheit und Datenkorrektheit den Wert als 
sicheren Wert. Dieser Wert wird wieder von der OS angezeigt 
und ist vom Anwender zum Schluss noch zu prufen. Bei Unter- 
schied zum gewiinschten Wert muss Bediener mit einer neuen Si- 
cherheitseingabe oder dem Stopp dieser Funktion reagieren. 
Diese letzte Prufung ist jedoch sicherheitstechnisch, d. h. 
zur Erreichung der Sicherheitsklasse SIL 3, nicht erf order- 
lich. 

Fur die Funktion in der OS und fur die Datenubertragung muss 
ein probabilistischer Nachweis entsprechend SIL 2 erstellt 
werden (SIL = Safety Integrity Level gemafi IEC 61508) . Ein 
derartiger probabilistischer Nachweis kann z. B. die Durch- 
fiihrung einer FMEA (Failure Mode and Effect Analysis) sein. 
Die Sicherheits-Anf orderung an den F-Funktionsbaustein ist 
SIL 3. Durch die Beobachtung des gesamten Bedienvorgangs 
durch den Anwender erreicht die gesamte Funktion SIL 3. Die 
Verantwortung fur die Eingabe des richtigen Wertes an der 
richtigen Stelle verbleibt beim Anwender. Die OS, bzw. die 
gesamte Funktion "sichere Eingabe", tragt nur die Verantwor- 
tung fur die richtige Ubertragung des angezeigten Wertes. Die 
Val-ID weist typischerweise Werte zwischen 1 und FFFE (hexa- 
dezimal) auf . Bei Auf tret-en eines Fehlers wahrend des Ablaufs 
des Verfahrens bleibt grundsatzlich der letzte gultige siche- 
re Wert erhalten. Nach Neustart mussen die Werte neu eingege- 
ben werden. 
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In einem typischen Szenario, in welchem eine Ausgestaltung 
der Erfindung zum Einsatz kommen konnte, lauft eine Ferti- 
gungsanlage unter genau definierten Bedingungen. Auf einem 
Anzeigefeld einer OS wird ein aktueller Anlagenwert ange- 
zeigt. In Abhangigkeit der gerade zu produzierenden Produkte 
miissen Temperatur- oder der Druckwerte im sicherheitsgerich- 
teten Teil der Anlage geandert werden. Die anlagenspezif i- 
schen Grenzwerte werden bei der gewiinschten Anderung jedoch 
nicht iiber- bzw. unterschritten und sollen auch nicht gean- 
dert werden. Die zu andernden Werte sind nicht unbedingt nur 
die Sicherheit betreffende Werte, sondern haben auch Einfluss 
auf die Produktqualitat. Weitere zu andernde sicherheitsrele- 
vante Werte kOnnten jedoch auch Auswirkungen auf potentielle 
Risiken haben. In einem ersten Szenario gibt ein Anwender ei- 
ne Anderungsanforderung (change request) in das Bediensystem 
ein. Die betroffene Sicherheitsf unktion in diesem Szenario 
geht daraufhin in den sicheren Zustand (was im Allgemeinen 
sicherheitstechnisch nicht erforderlich ware) . Der Anwender 
gibt in ein dafiir vorgesehenes Eingabefeld den neuen Wert 
ein. Der Anwender validiert seine Eingabe mit seinem eigenen 
Schlussel (mechanischer oder komplexerer Art, z. B. Chipkar- 
te, biometrischer Schlussel u. A) , wodurch ein Einbitwert 
(Validation Anwender) gesetzt wird. Der eingegebene Wert wird 
mit den Anlagengrenzwerten verglichen. Bei falscher Eingabe 
kann ein zuvor parametrierter Ersatzwert validiert werden. 
Der akzeptierte Wert oder der Ersatzwert wird in einem dafiir 
vorgesehen Anzeigefeld angezeigt. Der Zustand "akzeptiert" 
Oder "nicht akzeptiert" wird mit einem eigenen Einbitwert 
(Acceptation Condition) in einem separaten Anzeigefeld ange- 
zeigt. 

In einem zweiten Szenario iiberpruft und validiert ein zweiter 
Anwender, der Supervisor, die Eingabe des ersten Anwenders 
und den riickgespiegelten Wert mit seinem eigenen Schlussel. 
Abhangig von seiner Validierung wird ein Einbitwert (Valida- 
tion Supervisor) generiert und angezeigt. Ein akzeptierter 
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Wert wird als aktuell giiltiger Wert angezeigt. Akzeptiert der 
Supervisor den vom ersten Anwender eingegebenen Wert nicht 
innerhalb einer def inierbaren Zeitspanne, wird die Eingabe- 
funktion zurtickgesetzt . 

Nach einem Stopp und Wiederanlauf der (F-)CPU und/oder einem 
Stromversorgungsfehler bleibt die F-Funktion im sicheren Zu- 
stand und der jeweilige Ersatzwert wird als aktuell giiltiger 
sichere Wert angezeigt. 

Zusammengefasst betrifft die Erfindung somit ein System sowie 
ein Verfahren zur sicheren Erfassung von Eingabewerten zur 
Verarbeitung in einer sicherheitsgerichteten Recheneinheit . 
Urn die sichere Erfassung von Eingabewerten mit einer nicht 
sicherheitsgerichteten Bedienvorrichtung zu ermoglichen, wird 
vorgeschlagen, dass mittels einer Bedienvorrichtung ein uber 
Eingabemittel eingegebener erster Wert mit ersten Anzeigemit- 
teln angezeigt wird, der erste Wert zusammen mit einem Iden- 
tifizierungswert unverschlusselt an eine sicherheitsgerichte- 
te Recheneinheit iibertragen wird, ein von der Recheneinheit 
ubermittelter zweiter Wert in einen dritten Wert umgerechnet 
wird, der dritte Wert mit zweiten Anzeigemitteln angezeigt 
wird, ein Uber die Eingabemittel eingegebener vierter Wert 
mit dritten Anzeigemitteln angezeigt wird, der vierte Wert in 
einen funften Wert umgerechnet wird und der fiinfte Wert zu- 
sammen mit dem Identif izierungswert unverschlusselt an die 
Recheneinheit iibertragen wird, und dass die Recheneinheit den 
ersten Wert sowie Kontrollwerte und Grenzwerte speichert, den 
Identifizierungswert mit einem der Kontrollwerte mittels ers- 
ter Vergleichsmittel 11 vergleicht, den ersten Wert mit den 
Grenzwerten mittels zweiter Vergleichsmittel 12 vergleicht, 
den ersten Wert in einen zweiten Wert umrechnet, den zweiten 
Wert unverschlusselt an die Bedienvorrichtung iibertragt und 
den funften Wert mit dem ersten Wert mittels dritter Ver- 
gleichsmittel 13 vergleicht. 
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Patent anspriiche 

1. System zur sicheren Erfassung von Eingabewerten mit einer 
Bedienvorrichtung (1) und einer sicherheitsgerichteten Re- 
cheneinheit (2), wobei die Bedienvorrichtung (1) 

• erste Anzeigemittel (6) zur Anzeige eines iiber Eingabemit- 
tel (3) eingebbaren erst en Werts, 

• Kommunikationsmittel (4) zur unverschlusselten Obertragung 
des ersten Werts zusammen mit einem Identif izierungswert 
an die Recheneinheit (2), 

• Rechenmittel (5) zur Umrechnung eines von der Rechenein- 
heit (2) ubermittelbaren zweiten Werts in einen dritten 
Wert, 

• zweite Anzeigemittel (7) zur Anzeige des dritten Werts, 

• dritte Anzeigemittel (8) zur Anzeige eines iiber die Einga- 
bemittel (3) eingebbaren vierten Werts, wobei die Rechen- 
mittel (5) zur Umrechnung des vierten Werts in einen fiinf- 
ten Wert vorgesehen sind und die Kommunikationsmittel (4) 
zur unverschlusselten Obertragung des funften Werts zusam- 
men mit dem Identif izierungswert an die Recheneinheit (2) 
vorgesehen sind, 

und wobei die Recheneinheit (2) 

• Speichermittel (10) zur Speicherung des ersten Werts sowie 
zur Speicherung von Kontrollwerten und Grenzwerten, 

• erste Vergleichsmittel (11) zum Vergleich des Identifizie- 
rungswerts mit einem der Kontrollwerte, 

• zweite Vergleichsmittel (12) zum Vergleich des ersten 
Werts mit den Grenzwerten, 

• Rechenmittel (15) zur Umrechnung des ersten Werts in einen 
zweiten Wert, 

• Obertragungsmittel (14) zur unverschlusselten Obertragung 
des zweiten Werts an die Bedienvorrichtung (1) und 

• dritte Vergleichsmittel (13) zum Vergleich des funften 
Werts mit dem ersten Wert 

aufweist . 
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2. System nach Anspruch 1, 

dadurch gekennzeichnet, 

dass die Rechenmittel (5, 15) zur Bildung eines Komplements 

der Werte vorgesehen sind. 

3. System nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, 

dass die Recheneinheit (2) Mittel zur von Ergebnissen der 
Vergleiche der Vergleichsmittel (11, 12, 13) abhangigen Frei- 
gabe des ersten Werts aufweist. 

4. System nach einem der vorhergehenden Ansprtiche, 
dadurch gekennzeichnet, 

dass die ersten Anzeigemittel (6) und die zweiten Anzeigemit- 
tel (7) zur Anzeige des ersten bzw. des dritten Werts in von- 
einander unterschiedlicher Formatierung vorgesehen sind. 

5. System nach einem der vorhergehenden Ansprtiche, 
dadurch gekennzeichnet, 

dass die Bedienvorrichtung (1) eine iiber die Eingabemittel 
(3) aktivierbare Abbruchf unktion aufweist. 

6. System nach einem der vorhergehenden Ansprtiche, 
dadurch gekennzeichnet, 

dass die Recheneinheit (2) parametrierbare Oberwachungsmittel 
(16) zur Zeituberwachung der Obermittlung des ersten bzw. des 
vierten Werts aufweist. 

7. System nach einem der vorhergehenden Ansprtiche, 
dadurch gekennzeichnet, 

dass die Bedienvorrichtung (1) vierte Anzeigemittel (9) zur 
Anzeige eines weiteren von der Recheneinheit (2) ubertragba- 
ren sechsten Werts aufweist. 

8. System nach einem der vorhergehenden Ansprtiche, 
dadurch gekennzeichnet, 
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dass die Speichermittel (15) zur diversitaren Speicherung der 
Kontrollwerte vorgesehen sind. 

9. System nach einem der vorhergehenden Ansprtiche, 
dadurch gekennzeichnet, 

dass die Eingabemittel (3) keine Drag & Drop-Funktion zulas- 
sen. 

10. System nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass die Recheneinheit (2) sicherheitsgerichtete Funktions- 
mittel (17) zur sicheren Durchf iihrung eines Funktionstests 
der Bedienvorrichtung (1) aufweist. 

11. System nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass die Bedienvorrichtung (1) Mittel (18) zur Authentif izie- 
rung von Anwendern aufweist. 

12. System nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass das System Teil eines Automatisierungssystems ist. 

13. Verfahren zur sicheren Erfassung von Eingabewerten, bei 
welchem mittels einer Bedienvorrichtung (1) 

• ein uber Eingabemittel (3) eingegebener erster Wert mit 
ersten Anzeigemitteln (6) angezeigt wird, 

• der erste Wert zusammen mit einem Identif izierungswert un- 
verschliisselt an sine sicherheitsgerichtete Recheneinheit 
(2) iibertragen wird, 

• ein von der Recheneinheit (2) iibermittelter zweiter Wert 
in einen dritten Wert umgerechnet wird, 

• der dritte Wert mit zweiten Anzeigemitteln (7) angezeigt 
wird, 

• ein uber die Eingabemittel (3) eingegebener vierter Wert 
mit dritten Anzeigemitteln (8) angezeigt wird, 

• der vierte Wert in einen funften Wert umgerechnet wird und 
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• der fttnfte Wert zusammen mit dem Identif izierungswert un- 
verschliisselt an die Recheneinheit (2) ubertragen wird, 

und bei welchem die Recheneinheit (2) 

• den ersten Wert sowie Kontrollwerte und Grenzwerte spei- 
chert, 

• den Identif izierungswert mit einem der Kontrollwerte mit- 
tels erster Vergleichsmittel (11) vergleicht, 

• den ersten Wert mit den Grenzwerten mittels zweiter Ver- 
gleichsmittel (12) vergleicht, 

• den ersten Wert in einen zweiten Wert umrechnet, 

• den zweiten Wert unverschlusselt an die Bedienvorrichtung 
(1) ubertragt und 

• den fUnften Wert mit dem ersten Wert mittels dritter Ver- 
gleichsmittel (13) vergleicht. 

14. Verfahren nach Anspruch 13, 
dadurch gekennzeichnet, 

dass die Rechenmittel (5, 15) jeweils ein Komplement der Wer- 
te bilden. 

15. Verfahren nach Anspruch 13 oder 14, 
dadurch gekennzeichnet, 

dass die Recheneinheit (2) den ersten Wert in Abhangigkeit 
von Ergebnissen der Vergleiche der Vergleichsmittel (11, 12, 
13) freigibt. 

16. Verfahren nach einem der Anspruche 13 bis 15, 
dadurch gekennzeichnet, 

dass die ersten Anzeigemittel (6) und die zweiten Anzeigemit- 
tel (7) den ersten bzw. den dritten Werts in voneinander un- 
terschiedlicher Formatierung anzeigen. 

17. Verfahren nach einem der Ansprttche 13 bis 16, 
dadurch .gekennzeichnet, 

dass iiber die Eingabemittel (3) eine Abbruchf unktion der Be- 
dienvorrichtung (1) aktivierbar ist. 
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18. Verfahren nach einem der Anspruche 13 bis 17, 
dadurch gekennzeichnet, 

dass die Ubermittlung des ersten bzw. des vierten Werts mit- 
tels parametrierbarer Oberwachungsmittel (16) der Rechenein- 
heit (2) zeitlich iiberwacht wird. 

19. Verfahren nach einem der Anspruche 13 bis 18 , 
dadurch gekennzeichnet, 

dass ein weiterer von der Recheneinheit (2) ubertragbarer 
sechster Wert mit vierten Anzeigemitteln (9) angezeigt wird. 

20. Verfahren nach einem der Anspruche 13 bis 19, 
dadurch gekennzeichnet, 

dass die Kontrollwerte diversitar gespeichert werden. 

21. Verfahren nach einem der Anspruche 13 bis 20, 
dadurch gekennzeichnet, 

dass die Eingabemittel (3) keine Drag & Drop-Funktion zulas- 
sen. 

22. Verfahren nach einem der Anspruche 13 bis 21, 
dadurch gekennzeichnet, 

dass sicherheitsgerichtete Funktionsmittel (17) der Rechen- 
einheit (2)einen Funktionstest der Bedienvorrichtung (1) si- 
cher durchfuhren. 

23. Verfahren nach einem der Anspruche 13 bis 22, 
dadurch gekennzeichnet, 

dass die Bedienvorrichtung (1) Anwender authentif iziert . 

24. Verfahren nach einem der Anspruche 13 bis 23, 
dadurch gekennzeichnet, 

dass das Verfahren zur Erfassung von Eingabewerten innerhalb 
eines Automatisierungssystems dient. 
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Zusammenf assung 

Sichere Erfassung von Eingabewerten 

Die Erfindung betrifft ein System sowie ein Verfahren zur si- 
cheren Erfassung von Eingabewerten zur Verarbeitung in einer 
sicherheitsgerichteten Recheneinheit . Urn die sichere Erfas- 
sung von Eingabewerten mit einer nicht sicherheitsgerichteten 
Bedienvorrichtung zu ermoglichen, wird vorgeschlagen, dass 
mittels einer Bedienvorrichtung (1) ein uber Eingabemittel 
(3) eingegebener erster Wert mit ersten Anzeigemitteln (6) 
angezeigt wird, der erste Wert zusammen mit einem Identifi- 
zierungswert unverschltisselt an eine sicherheitsgerichtete 
Recheneinheit (2) ubertragen wird, ein von der Recheneinheit 
(2) iibermittelter zweiter Wert in einen dritten Wert umge- 
rechnet wird, der dritte Wert mit zweiten Anzeigemitteln (7) 
angezeigt wird, ein uber die Eingabemittel (3) eingegebener 
vierter Wert mit dritten Anzeigemitteln (8) angezeigt wird, 
der vierte Wert in einen fiinften Wert umgerechnet wird und 
der funfte Wert zusammen mit dem Identif izierungswert unver- 
schlusselt an die Recheneinheit (2) ubertragen wird, und dass 
die Recheneinheit (2) den ersten Wert sowie Kontrollwerte und 
Grenzwerte speichert, den Identif izierungswert mit einem der 
Kontrollwerte mittels erster Vergleichsmittel (11) ver- 
gleicht, den ersten Wert mit den Grenzwerten mittels zweiter 
Vergleichsmittel (12) vergleicht, den ersten Wert in einen 
zweiten Wert umrechnet, den zweiten Wert unverschliisselt an 
die Bedienvorrichtung (1) iibertragt und den fiinften Wert mit 
dem ersten Wert mittels dritter Vergleichsmittel (13) ver- 
gleicht . 

FIG 1 
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